Document made available under the 
Patent Cooperation Treaty (PCT) 



International application number: PCT/FR05/000158 
International filing date: 24 January 2005 (24.01.2005) 

Document type: Certified copy of priority document 

Document details: Country/Office: FR 

Number: 0450129 

Filing date: 23 January 2004 (23.01.2004) 



Date of receipt at the International Bureau: 27 May 2005 (27.05.2005) 



Remark: Priority document submitted or transmitted to the International Bureau in 
compliance with Rule 17.1(a) or (b) 




World Intellectual Property Organization (WIPO) - Geneva, Switzerland 
Organisation Mondiale de la Propriete Intellectuelle (OMPI) - Geneve, Suisse 



R E P U 



L I Q U E 




5 / 0 00 1 5 8 



1NSTITUT 
NATIONAL DE 
LA PROPRIETE 
I N DUSTR I ELLE 



BREVET D 'INVENTION 



CERTIFICAT D'UTILITE - CERTIFICAT D'ADDITION 



COPIE OFFICIELLE 

Le Directeur general de I'lnstitut national de la propriete 
industrielle certifie que le document ci-annexe est la copie 
certifiee conforme d'une demande de titre de propriete 
industrielle deposee a I'lnstitut. 



Fait a Paris, le . 



1 0 H A I 2005 



Pour le Directeur general de I'lnstitut 
national de la propriete industrielle 
Le Chef du Departement des brevets 




Martine PLANCHE 



SIEGE 

INSTITUT 26 bis, rue de Saint-Petersbourg 
NATIONAL DE 75800 PARIS cedex 08 

Telephone : 33 (0)1 53 04 53 04 
LA PROPRIETE Telecople : 33 (0)1 53 04 45 23 
INDUSTRIELLE www.inpi.fr 



ETABL1SSEMENT PUBLIC NATIONAL CREE PAR LA LOl N° 51-444 DU 19 AVRIL 1951 



I 



1/2 



BREVET DONVENTION 

CERTIFICAT D'UTILITE 



26bis, rue de Saint-Petersbourg Code de la propriete intellectueile-livreVl 

75800 Paris Cedex 08 

Telephone: 01 53.04.53.04 Telecopie: 01.42,94.86.54 REQUITE EN D^LIVRANCE 



DATE DE REMISE DES PIECES: 
N° D'ENREGISTREMENT NATIONAL: 
DEPARTEMENT DE DEPOT: 
DATE DE D£P0T: 


Albert GRYNWALD 

Cabinet GRYNWALD 

127 rue du Faubourg Poissonniere 

75009 PARIS 

France 




|Vos references pour ce dossier: B1 1 161 



1 NATURE DE LA DEMANDE 


Dernande de brevet | 


2 TITRE DE L'INVENTJON 




Procede pour etablir, a partir d*un jeu de grands nombres premiers, un jeu de c}es 
destine a prouver I'authenticite d'une entite ou Tintegrite d'un message 


3 DECLARATION DE PRIORITE OU 
REQUETE DU BENEFICE DE LA DATE DE 
DEPOT D'UNE DEMANDE ANTERIEURE 
FRANCAISE 


Pays ou organisation Date 


N° 


4-1 DEMANDEUR 


Nom 
Rue 

Code postal et ville 
Pays 

Nationalite 
Forme juridique 
N° SIREN 


FRANCE TELECOM 
6 Place d'Aiieray 
75015 PARIS 
France 
France 

Societe anonyme 
380 129 866 


5A MANDATAIRE 


Nom 

Prenom 

Qualite 

Cabinet ou Societe 
Rue 

Code postal et ville 
N° de telephone 
N° de telecopie 
Courrier eiectronique 


GRYNWALD 
Albert 

CPl: 95-1001, Pas de pouvoir 

Cabinet GRYNWALD 

127 rue du Faubourg Poissonniere 

75009 PARIS 

01 53 32 77 35 

01 53 32 77 94 

cabinetgrynwald@wanadoo.fr 


6 DOCUMENTS ET FICHIERS JOINTS 


Fichier eiectronique Pages 


Details 


Texte du brevet 
Dessins 

Designation d'inventeurs 


textebrevet.pdf 35 
dessins.pdf 3 


D 27, R 7, AB 1 

page 3, figures 4, Abrege: 
page 3, Fig.2 




MAriCMAU DE 
LA PP0PPJETE 



1 er depot 



7 MODE PE PAIEMENT~ 



Mode de paiement 
Numero du compte client 



j Prelevement du compte courant 
3339 



8 RAPPORT PE RECHERCHE 



Etabiissement immediat 



9 REPEVANCES JOINTES 

062 Depot 

063 Rapport de recherche (R.R.) 

068 Revendication a partir de la Heme 
Total a acquitter . 



Devise 



Taux 



QuantHe 



Montant a payer 



EURO 
EURO 
EURO 
EURO 



0.00 

320.00 

15.00 



1.00 
1.00 
10.00 



0.00 
320.00 
150.00 
470.00 



La loi n'78-17 du 6 Janvier 1978 relative a I'informatique auxfichiers et aux liberies s'applique aux reponses faites a ce formulaire. 
EHe garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de I INPl. 

Signe par 

Signataire: FR, Cabinet Grynwald, A.Grynwald 
Emetteur du certificat: DE, D-Trust GmbH, D-Trust for EPO 2.0 
Fonction 

Mandataire agree (Mandataire 1) 



..j |j .j; ::r.; j;;f ;;= \" -■■ ":;;: '! • • iv !:!;■ ' : - : % T : H i : I ;|; i ; ; ; ; W \ WW \ W\ 



1^1 UfcfjJOL 



HEPUBLlpUE FRANCAI8E 

BREVET D f INVENTION 

CERT1FICAT D'UTILITE 

Reception electronique d'une soumission 

II est certifie par la presente qu'une demande de brevet (ou de certificat cTutilite) a ete rerpue 
par le biais du depot electronique securise de TINPi. Apres reception, un numero 
d'enregistrement et une date de reception ont ete attribues automatiquement 



Demande de brevet : X 
Demande de CU : 



DA TE DE RECEPTION 
TYPE DE DEPOT 

N s D'ENREGfSTREMENT NA TIONAL 
ATTRIBUE PAR L'INP! 


23 janvier 2004 

INP! (PARIS) - Depot electronique Depot en Hgne: X 

Depot sur support CD: 

0450129 


Vos references pour ce dossier 


B11161 


DEMANDEUR 


Nom ou denomination sociale 
Nombre de demandeur(s) 
Pays 


FRANCE TELECOM 
1 

FR 


TITRE DE ^INVENTION 


Procede pour etablir, a partlr d'un jeu de grands nombres premiers, un jeu de cles destine a prouver rauthenticite 
d'une entite ou 1' integrate d'un message 


DOCUMENTS ENVOYES 


package-data.xml 
DesignPDF 

FR-office-specific-info,xm} 
dessins.pdf 


Requetefr.PDF 
ValidLog.PDF 
application-body.xml 
indication-bio-deposit.xml 


fee-sheetxml 

textebrevet.pdf 

requestxml 


EFFECTUE PAR 


Effectue par: 

Date et heure de reception electronique: 
Empreinte officielie du depot 


A.Grynwald 

23 janvier 2004 16:46:11 

F2:32:F8:B8:CF:5E:B8:A7:A8:84:18:B0:94:02:D6:D8:D5:25:36:1O 



/ INPl PARIS, Section Depot/ 




1NSTITUT 
NATION At DE 
LA PftOPRIETE 
INOUSTRIEJttE 



SIEGE SOCIAL 
1NST»TUT 26 bFs, rue do Saini Petersbour<j 
NATIONAL DE 76600 PARIS ceelox 08 
LA PROPRIETE Telephone* : 01 53 04 53 04 
INDUSTRIELLE T&ecopia : 01 42 S3 59 30 



ETABUSSEMENT PU0LIO NATIONAL GREE PAR LALOI No 51-444 DU 19 AVRIL 1951 



1 er depot 



1 



Procede et systeme pour etablir, a partir d'un jeu de grands nombres 
premiers, un jeu de cles destine a prouver l'authenticite d'une entite on 

l'integrite d'un message. 

Preambule de la description 

Domaine concerne 

La presente invention concerne un procede et un systeme pour etablir, a 
partir d'un jeu de grands nombres premiers, un jeu de cles destine a prouver 
l'authenticite d'une entite ou l'integrite d'un message. 

Expose du probleme 
Inventee en 1977, la technologie RSA offre des services de confidentialite 
et d'integrite. Mais ce caractere universel a un prix en termes de 
performances. Inventee en 1999, la technologie GQ2 n'offre pas de service 
de confidentialite. Elle est dediee aux services d'integrite. En 
authentification et en signature, le mecanisme GQ2, flexible et ajustable par 
parametres, est bien plus performant que le mecanisme RSA, par trop 
rigide. 

Depuis Tinvention de la technologie RSA, le probleme de la factorisation 
des nombres entiers a fait l'objet d'intenses recherches. Le probleme resiste 
toujours malgre de notables progres resultant davantage de revolution de la 
puissance des ordinateurs que de revolution des algorithmes de 
factorisation. C'est a juste titre que les utilisateurs font confiance a la 
technologie RSA et done, au probleme de la factorisation. 
Chaque instance RSA repose sur le probleme de la factorisation d'un 
module, denote n', produit de deux grands facteurs premiers distincts, 
denotes pi et p 2 . 

n* = p x x p 2 avec pi < P2 
Outre un module n», une cle RSA publique comprend un exposant e. 
Chaque instance GQ2 repose egalement sur le probleme de la factorisation 
d'un module, denote n", produit de plusieurs grands facteurs premiers dont 



2 



deux au moins sont distincts, denotes p x ap f . 

n ff «pix„. p f avec Pi <p 2 .-^Pf et Pi<p f 
Outre un module n", une cle GQ2 publique comprend encore au moins un 
parametre de securite k > 1 et un ou plusieurs nombres de base gi a g m > 1 
dont le produit est inferieur aux grands facteurs premiers. 
Chaque instance de la technologic GQ2 met en oeuvre une ou plusieurs 
paires de nombres, a savoir un nombre public G, deduit du nombre de base 
g, et un nombre prive Q par pake, satisfaisant les deux criteres suivants. 
Critere de validite d'un nombre de base GQ2 — Par d6fimtion, pour le 
parametre de securite k > 1, un nombre g > 1 est « valide » comme nombre 
de base lorsque dans Fanneau des entiers mod n, le nombre public G admet 
des racines 2 k -iemes. Le nombre prive Q correspondent est Tune de ces 
racines 2 k -iemes ou son inverse mod n. La « paire de nombres GQ2 » Q et 
G verifie une equation, directe ou inverse, regie par l'exposant v = 2 k et le 
module n. 

G ss Q v mod n ou GxQ v =l mod n 
Critere d'equivalence d f un jeu de cles GQ2 avec le probleme de la 
factorisation du module n — Par definition, un jeu de cles GQ2 est « sur » 

au sens cryptographique lorsque la connaissance d'un ou plusieurs nombres 
prives de Qi a Q m induit la connaissance d'une decomposition non-triviale 
du module n. Alors, prouver la connaissance de la cle privee GQ2 sans la 
reveler revient a prouver la connaissance d ? une decomposition non-triviale 
du module n sans la reveler. 

^equivalence d'un jeu de cles GQ2 avec le probleme de la factorisation du 
module n etablit une preuve de la securite du protocole d ! authentification 
GQ2. 

Les cles GQ2 et leur gestion sont compatibles avec les cles RSA. Le meme 
module n pent sans probleme de securite etre utilise en RSA et en GQ2. 
Cette compatibility tend a consolider la position hegemonique de la 
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technologie RS A en evitant le recours a des problemes autres que celui de la 
factorisation lorsque les performances du mecanisme RSA laissent a desirer, 
par exemple, des dispositifs a capacite de calcul limitee comme une carte a 
puce, et des dispositifs satures comme un serveur calculant un nombre eleve 
de signatures. 

Ainsi en cas de saturation d'un serveur, deux strategies sont possibles sans 
changer de jeu de cles RSA, c'est-a-dire, avec le meme module n, produit de 
deux facteurs premiers p t et p 2 donnes. 

Ou bien, multiplier le nombre de serveurs en conservant le mecanisme RSA 
de signature. 

Ou bien, diviser la charge de travail en changeant de mecanisme, en passant 
de RSA en GQ2. 

En version classique de GQ2, chaque nombre de base g fixe un nombre 
public Gi = gi 2 . Lorsque p! -1 et p 2 -1 sont divisibles par deux mais pas par 
quatre, soit environ un quart des modules RSA, la version classique de GQ2 
assure systematiquement le critere de validite du nombre de base, c'est-a- 
dire, quel que soit le parametre de seeurite k, le nombre de base & peut 
prendre toute valeur > 1 . 

Mais plus la puissance de deux divisant pj -1 et / ou p 2 -1 grandit, c'est-a- 
dire, plus pi et / ou p 2 se ramifient, plus il devient difficile de trouver des 
nombres de base en version classique de GQ2. 

La presente invention definit alors autrement les nombres publics Gi a G in 
en fonction des nombres de base gi a g m . 

Art anterieur 
Elever au carre dans le corps des entiers mod p 

Chaque grand nombre premier p est impair, c'est-a-dire, congru a 1 ou a 3 
mod 4, avec autant en moyenne dans chaque categorie. Chaque grand 
nombre premier congru a 1 mod 4 est congru a 1 ou a 5 mod 8, avec autant 
en moyenne dans chaque categorie. Chaque grand nombre premier congru 
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a 1 mod 8 est congru a 1 ou a 9 mod 16, avec autant en moyenne dans 
chaque categorie, et ainsi de suite. En moyenne, un grand nombre premier 
sur 2 b est congru a 2 b +l mod 2 hH ; alors Texpression (p-l)/2 b est im nombre 
impair. 

Considerons un nombre a positif et une suite definie par : 

{xi = a mod p; pour i > 0, x*h = a + x* mod p} 
Aucun des nombres suivants n'est nul : X\ = a mod p, x 2 — 2 x a mod p, . . . 
x p _i = (p-1) x a mod p. Tous differents, ils forment une permutation des 
nombres de 1 a p~L Leproduit {1 x 2 x 3 x ... (p-1)} = {(p-1) !} est done 
egal au produit {(a mod p) x (2 x a mod p) x (3 x a mod p) x ... ((p-1) x a 
mod p)}, e'est-a-dire, le nombre premier p divise le nombre {(a 3 *" 1 -!) x (p~ 
1) !}. Or p ne divise pas le nombre {(p-1) !}. Done p divise a* 3 " 4 -!. C r est 
le petit theoreme de Fermat qui s'enonce eomme suit : « Soit p un nombre 
premier et a un entier non divisible par p, p divise a*" -1 -! . » 
Considerons un nombre a positif, inferieur a p, et une suite definie par ; 

{%i = a; pour i > 0, x m = a x x { mod p} 
Par definition, le « rang » de a par rapport a p est la periode de la suite (le 
plus petit nombre n positif tel que x n+1 = a). Selon le petit theoreme de 
Fermat, le rang est egal a ou divise p-L Dans le corps des entiers mod p, si 
p est congru a 2 b -H mod 2 b+1 ? il y a (p-l)/2 b elements de rang impair et (2 b ~ 
l)x(p-l)/2 b elements de rang pair. Tout element de rang p-1, denote w, est 
«primitif » car la suite de ses puissances modulaires successives, e'est-a- 
dire, {pour ide 1 a p-1, w J mod p}, comprend tous les elements non-nuls 
du corps. 

Dans le corps des entiers mod p, la fonction « elever au carre » divise par 
deux le rang des elements de rang pair et ne modifie pas le rang des 
elements de rang impair. Elle se represente par un graphe oriente forme de 
cycles et de branches. La figure 1 illustre les quatre cas les plus simples et 
les plus frequents : 1) b = 1, c'est-a-dire ? p = 3 (mod 4), 2) b = 2, c F est-a~ 
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dire, p = 5 (mod 8), 3) b = 3, c'est-a-dire, p s 9 (mod 16), 4) b = 4, c'est-a- 
dire, p = 17 (mod 32), 

Tout element de rang impair (les carres 18 de la figure 1) est dans un cycle. 
Chaque cycle est constitue de tous les elements de m€me rang impair. Pour 
chaque nombre x egal a on divisant (p-l)/2 b , il y a un cycle de <p(x) 
elements de rang x ou <p(x) est le nombre de nombres positifs, inferieurs a x 
et premiers avec x. 

La fonction « elever a la puissance s - (p-l+2 b )/2 b+1 » convertit tout 
element d'un cycle, c'est-a-dire, de rang impair, en sa racine carree dans le 
cycle, c'est-a-dire, de meme rang. En effet, 2 x s -1 = (p-l)/2 b . 
Par definition, par rapport a un nombre premier p, on dit qu'un nombre a, 
non-multiple de p, est un «r6sidu quadratique» ou un «non-residu 
quadratique» selon que liquation x 2 e a mod p a des solutions ou pas. 
Dans le corps des entiers mod p, (p-l)/2 elements sont des non-residus 
quadratiques, a savoir les « elements primitifs » definis precedemment, et 
(p-l)/2 elements sont des residus quadratiques. 

Tout element de rang pair est dans une branche. Une branche est attachee a 
chaque element de rang impair (les carres 18 de la figure 1). II y a (p-l)/2 b 
branches, toutes semblables. Chaque noeud (les carres 20 de la figure 1) est 
un residu quadratique de rang pair. Chaque feuille (les ronds 22 de la figure 
1) est un element primitif (non-residu quadratique). Chaque branche 
comprend 2 b -l elements dont 2 b_1 feuilles, soit une longueur b. 
La fonction « elever a la puissance (p-l)/2 b » convertit n'importe quel 
element primitif w en un element a> dont les puissances successives sont les 
2 b racines en x de l'equation x y = 1 mod p avec' y = 2 b . L'ensemble de ces 
2 b racines, c'est-a-dire, {pour i de 1 a 2 b , a* mod p}, forme un groupe 
multiplicatif connu sous le nom de "groupe de Sylow". Dans le graphe, 
c'est le point fixe 1 et la branche qui y est rattachee. 

Dans le corps des entiers mod p, n'importe quel element non-nul s'ecrit de 



maniere unique comme le produit (et le quotient) chine des 2 b racines en x 
de l'equation x y = 1 mod p avec y = 2 h par un element de rang impair. La 
fonetion « elever a la puissance (p-l)/2 b » convertit tout element non-nul, 
denote a, en la racine, denotee a, qui lui est ainsi associee de maniere 
unique. 

Symboles de Legendre et de Jacobi 

Par definition, le « symbole de Legendre » d T un nombre a positif par rapport 
a un nombre p premier est egal a a (p ~ 1)/2 mod p. Sa valeur est 0 pour les 
multiples de p. Pour les non-multiples de p, sa valeur est +1 ou -1 selon que 
Tequation x 2 s a mod p a des solutions ou pas, c r est-a-dire, selon que le 
nombre a, non-multiple de p, est un « residu quadratique » ou un « non- 
residu quadratique » par rapport a p. 

Par definition, le « symbole de Jacobi » par rapport a un nombre compose n 
est le produit des symboles de Legendre par rapport a chaque facteur 
premier de n, en repetant les symboles de Legendre pour les facteurs 
premiers qui se repetent. 

Si le symbole de Jacobi du nombre a par rapport au nombre n vaut -1, alors 
Fequation x 2 s a mod n n'a pas de solution. Universe n'est pas vrai. 
Chacun de ces symboles peut se calculer efficacement sans exponentielle et 
sans les facteurs premiers, en utilisant la « loi de reciprocity quadratique ». 
Rappels sur la technologie RSA 

Chaque instance de la technologie RSA utilise un module n, produit de 
deux grands facteurs premiers distincts p T et p 2 . Un nombre e est « valide » 
comme exposant RSA lorsqu'il est premier avec p T -1 et p 2 -L C ! est le 
« critere de validite de l'exposant RSA ». 

La technologie RSA est « asymetrique » en ce sens qu'elle met en ceuvre 
une « paire de cles ». Une cle RSA publique comprend un exposant et un 
module, couramment denotes <e, n). Une cle RSA privee comprend un 
exposant et un module, couramment denotes <d, n). 



1er depot 



7 



Lorsque l'exposant e est premier avec p 3 -1, la fonction « elever a la 
puissance e mod p, » ne change pas le rang des elements. Les elements (de 
rang impair) de chaque cycle de la fonction « elever au carre mod pj » se 
retrouvent permutes dans un cycle de la fonction « elever a la puissance e 
mod pj ». Chaque element (de rang pair) de n'importe quelle branche 
attachee a un cycle de la fonction « elever au carre » se retrouve dans un 
cycle de la fonction « elever a la puissance e », deduit du cycle des elements 
de rang impair par multiplication par Tune des 2 bj -l racines de rang pair en 
x de l'equation x y s 1 mod pj avec y = 2 bi . En particulier, la branche de la 
fonction « elever au carre » attachee a l'unite se transforme en 2 b, -l points 
fixes de la fonction « elever a la puissance e ». Pour tout nombre dj tel que 
Pj -1 divise e x dj -1, la fonction « elever a la puissance dj mod pj » inverse 
la fonction « elever a la puissance e mod pj ». 

L'anneau des entiers mod n est le produit du corps des entiers mod pi par le 
corps des entiers mod p 2 . La fonction « elever a la puissance e mod n » 
permute l'anneau des entiers mod n. Cest la permutation RSA. La 
permutation RSA s'inverse par une autre fonction puissance, la fonction 
« elever a la puissance d mod n ». Les nombres e et d sont lies. En effet, d 
est le plus petit nombre positif tel que p x -1 et p 2 -1 divisent e x d -1, c'est- 
a-dire, e x d -1 est xm multiple du plus petit commun multiple de pi -1 et p 2 
-1. 

e x d = 1 mod ppcm(pi -1 , p 2 -1) 
Une cle RSA privee se represente encore par cinq nombres, a savoir des 
facteurs premiers p a et p 2 , des exposants d x et d 2 (dj est le nombre positif 
inferieur a p 3 tel que p s -1 divise e x dj -1) et un reste chinois Cr (Cr est le 
nombre positif inferieur a pi tel que pi (< p 2 ) divise p 2 x Cr -1). 
La representation « chinoise » est la plus couramment utilisee. Pour 
inverser la permutation RSA, on calcule une composante Xj dans chaque 
corps en « elevant a la puissance dj mod pj ». Puis, on convertit les 
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composantes Xi et X 2 en un resultat X dans Vanneau des entiers mod n en 
faisant appel au reste chinois, 

z = Cr x (Xi - X 2 ) mod p x X = z x p 2 4- X 2 
La technologie RSA offre des services d'integrite et de confidentialite, 
L'exposant prive d est, selon le service, utilise pour signer ou pour 
dechiffrer. L'exposant public e est, selon le service, utilise pour verifier ou 
pour chiffrer. 

Rappels sur la version classique de la technologie GQ2 

Outre un module n, produit de f grands facteurs premiers p x a p f dont deux 
au moins sont distincts, chaque instance de la technologie GQ2 utilise un 
parametre de securite k > 1 et un ou plusieurs nombres de base gi a g m . Le 
parametre de securite k fixe un exposant v = 2 k . Chaque nombre de base g t 
> 1 fixe un nombre public Gi = gj 2 . Chaque paire de nombres GQ2, a savoir 
un nombre public G$ et un nombre prive Q b verifie une equation, directe ou 
inverse, regie par Texposant v et le module n. 

Gj s Qi V mod n ou Gj x = 1 mod n 
La technologie GQ2 est egalement « asymetrique ». Elle met en oeuvre une 
« paire de cles ». 

Une cle GQ2 publique classique comprend un parametre de securite k, un 
ou plusieurs nombres de base g t a g m , et un module n. 
Une cle GQ2 privee classique comprend un parametre de securite k, un ou 
plusieurs nombres prives Ch a Q ra , et un module n. 

Outre un parametre de securite k, une cle GQ2 privee classique se 
represente encore par f x (m+2) -1 nombres, a savoir des facteurs premiers 
Pi a p f , des restes chinois Cr x a Cr w , et des composantes privees Q u a 
Q m ,f (telles que Qy - Qi mod pj). Cette representation « chinoise » est la 
plus couramment utilisee. 
Protocole GQ2 classique 

Un defi d comporte k-1 bits par nombre de base. II se represente par m 
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nombres notes di a d m . Chaque nombre dj comporte k-1 bits, du bit de 
poids fort d a au bit de poids faible d ijk . 

Appel6e « temoin GQ2 », une premiere structure de calcul utilise une cle 
GQ2 privee et la protege. 

A chaque mise en oeuvre, le temoin tire au hasard un alea r } par facteur 
premier Pj. 

Pour chaque facteur premier p j3 le temoin effectue essentiellement k carres 
successifs pour convertir chaque alea rj en une composante d'engagement 

Tj=rfmod Pj (1) 

Puis, par. composition chinoise, le temoin convertit les composantes Tj a T f 
en engagement T. 

Pour chaque facteur premier p j5 le temoin entrelace k-1 operations 
multiplicatives avec k-2 carres apartir de 1 comme nombre de depart. Pour 
ii de 1 a k-1, la ii-ieme operation multiplicative consiste, pour i de 1 a m, a 
multiplier ou pas le nombre courant par Q y mod n selon que le bit d Mi vaut 
1 ou 0. Enfin, par une ultime multiplication par l'alea r b le temoin obtient la 
composante de reponse D 5 . Puis, il efface l'alea rj. Le temoin effectue en 
tout k-2 carres et en moyenne (k-1) x m / 2 multiplications. 

17! 

' ii (2) 
Puis, par composition chinoise, le temoin convertit les composantes Di a D f 
en reponse D. 

Appelee « controleur GQ2 », une autre structure de calcul dispose d'une cle 
GQ2 publique. 

Le controleur retablit un engagement T a partir de n'importe quelle reponse 
D et de n'importe quel defi d. II entrelace k carres avec k-1 operations 
elementaires. Pour ii de 1 a k-1, la ii-ieme operation elementaire suit le ii- 
ieme carre; elle consiste, pour idelam, a multiplier ou pas mod n le 
resultat courant par g 5 selon que le bit d Mi vaut 1 ou 0. 
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r-D"xfl<# mod* 

(3) 



Un << ta p et GQ2» comprend un engagement (un nombre T Doq> . f 
mfeneur a »), un defl (une chaine d de (fc-l) x ^ bit H T POSltlf * 
nombreD positif et infe^ur a n), note, £ d m ' ^ ^ ^ 
II Y a deux modes de production de triplets GQ2 ' 
«En mode prive», l e temoin GQ2 nrodnit <u ^ , 

engagement T se.on une fonnule d'engagenten, fn „ 

« - — une f^J^Z^T ^ ^ ° ' 
« En mode public », le controleur GO? *™ * 

D e, rf imp„ rte ^ d , fi 7^1^ ^ «*« 
con«r61e(3) NW. cement T S elon une fornnue de 

Etant dole »~ ™ 7" *« **** °Q2 au nasard. 

^-entdi^deu^^r^ITLr 7, ****** 

— . de „ k et ,«~ P :r r 4 r * 16 
;:;:cr - — — ~ £sr e 

Pour authentifier un messaap ivr ~ - 

«eu de ^engagement " ' "* * ^ de **** KT II M) an 

Pour signer un message M an ^ 

h(T || M). 8 ' " * t,rer Ie dai - » h^ard, on utilise 

Exemple de eonsttuetion d'un jeu elassique de eles GD2 * • • , 
evidente es U{ < 2 a equivalence 
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Voici une construction de jeu de cles GQ2 classique. Les m nombres de 
base sont les m premiers nombres premiers, c'est-a-dire, gi = 2, g 2 = 3, & = 
5, g4 = 7, g 5 11, g 6 = 13, g 7 = 17, gs = 19, et ainsi de suite. Les deux 
grands facteurs premiers sont congrus a 3 mod 4, et tels qu'il y a au moins 
un nombre de base gi dont les symboles de Legendre par rapport a pi et p 2 
sont differents, c'est-a-dire, (gi I Pi) = - (gi I P2). 

Au moins une des m premieres conditions suivantes est remplie. 1) Un 
facteur premier est congru a 3 mod 8 et l'autre a 7 mod 8. 2) Un facteur 
premier est congru a 1 mod 3 et l'autre a 2 mod 3. 3) Un facteur premier est 
congru a ±1 mod 5 et l'autre a ±2 mod 5. 4) Un facteur premier est congru a 
{1, 2, 4} mod 7 et l'autre a {3, 5, 6} mod 7. 5) Un facteur premier est 
congru a {1, 3, 4, 5, 9} mod 11 et l'autre a {2, 6, 7, 8, 10} mod 11. 6) Un 
facteur premier est congru a {+1, ±3, +4} mod 13 et l'autre a {±2, ±5, ±6} 
mod 13. Et ainsi de suite. 

Comme pi et p 2 sont congrus a 3 mod 4, chaque nombre public Gj = gi est 
sur un cycle pour p 2 et sur un cycle pour p 2 , c'est-a-dire que G s est de rang 
impair dans les deux corps dont le produit forme l'anneau des entiers mod n. 
Alors, le critere de validite du nombre de base GQ2 est satisfait 
systematiquement. Quelles que soient les valeurs du parametre de securite 
k et du nombre de base gi, il existe un nombre prive Qi- Une sequence de 
k-1 carres modulaires convertit le nombre Q s en un nombre y { . Dans 
l'anneau des entiers mod n, le nombre y t est un carre et le nombre Tj = y s / g { 
ou Yi x gi (selon que 1' equation GQ2 est directe ou inverse) est une racine 
carree de l'unite, c'est-a-dire, n divise r^-l. 

II y a au moins un nombre de base g pour lequel les symboles de Legendre 
par rapport a pj et p 2 different, c'est-a-dire, (g I pi) = - (g I P2). Les 
symboles de Jacobi par rapport au module n sont (±g I n) = -1; ni g ni -g 
ne sont des carres dans l'anneau des entiers mod n. Le nombre T vaut -1 
mod l'un des facteurs premiers et +1 mod l'autre. Alors qu'il divise T 2 -l, le 
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module n ne divise ni T+l, ni IM. Le nombre T est different de ±1. Cest 
une racine carree non-triviale de l'unite dans Tanneau. Le jeu de cles GQ2 
est equivalent a la factorisation du module n parce que la connaissance du 
nombre prive Q induit la connaissance d f une decomposition non-triviale du 
module n, a savoir n = pgcd(T>l, n) x pgcd(T— 1, n). 
Si le module n est congru a 1 mod 4 et si le symbole de Jacobi d r au moins 
un nombre de base g* par rapport a n vaut -1, c'est-a-dire 3 (g s | n) = -1, 
alors Tequivalence du jeu de cles GQ2 avec le probleme de la factorisation 
du module n est « evidente ». 

Au moins une des m premieres conditions suivantes est remplie. 1) Le 
module est congru a 5 mod 8. 2) Le module est congru a 1 mod 4 et a 2 
mod 3. 3) Le module est congru a 1 mod 4 et a ±2 mod 5. 4) Le module est 
congru a 1 mod 4 et a {3, 5, 6} mod 7. 5) Le module est congru a 1 mod 4 
et a {2, 6, 7, 8, 10} mod 11. 6) Le module est congru a 1 mod 4 et a {±2, 
±5, ±6} mod 13. 7) Le module est congru a 1 mod 4 et a {±3, ±5, ±6, ±7} 
mod 17. 8) Le module est congru a 1 mod 4 et a (2, 3, 8, 10 3 12, 13, 14, 15, 
18} mod 19. Et ainsi de suite. 

Si rauthentification GQ2 reussit, il y a deux interpretations. 

Ou bien avec une probability limitee a une chance sur le nombre total de 

defis possibles, le controleur a affaire a une entite qui a devine le defi. 

Ou bien avec la probability complementaire, le controleur a affaire a un 

temoin qui connait les nombres prives ce qui revient a connaitre ime 

decomposition non~triviale du module a. 

Un observateur ne sait pas distinguer les deux situations suivantes, d'une 
part, un protocole honnete se deroulant entre un controleur et un temoin, et 
d ! autre part, une interaction entre deux entites qui ont convenu a Tavance 
d'un defi ou d f une sequence de defis. Uinteraction simulee ne revele rien 
sur la factorisation du module n qui est le secret sous-jacent Par 
consequent, le protocole honnete ne revele rien non plus. 
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Solution 
Procede 

Uinvention concerne un procede pour etablir un jeu de cles se presentant 
sous la forme de m couples de valeurs privees Qi, Q 2 , Qm et publiques 
Gi, G 2 , ... Gm ou de parametre derives de composantes privees Qy des 
valeurs privees Qi- Le jeu de cles est etabli a partir : 

- de f grands facteurs premiers p„ p 2 , ... Pf de plusieurs centaines de bits, f 
est superieur ou egal a 2, et/ou 

- de m nombres de base entiers gi, g 2 , ... gm- 

Le jeu de cles est utilise dans un protocole destine a prouver a une entite 
controleur, 

- l'authenticite d'une entite, et/ou 

- rintegrite d'un message M associe a cette entite. 

Le protocole met en oeuvre un module public n constitute par le produit des f 
facteurs premiers pi, p 2 , ... Pf et/ou les f facteurs premiers. Le module n et 
les valeurs privees et publiques sont lies par des relations du type : 

Gjx Qi v = 1 mod n ou Q = Q ; v mod n 
v designant un exposant public de la forme : 

v-2 k 

ou k est un parametre de securite plus grand que 1. 

Chaque valeur publique G$ s'exprime sous la forme du a r i£me carre du 
nombre de base g t , ou a x designe un parametre d'ajustement du nombre de 
base gi par rapport au module n respectant la condition selon laquelle au 
moins un des parametres d'ajustement a t est superieur a 1. 
Le procede comprend les etapes suivantes : 

- l'etape de determiner le parametre d'ajustement ^ de telle sorte que 
chaqiie valeur publique Gj soit de rang impair par rapport k chaque facteur 
premier p l5 p 2 , ... Pr, 

- l'etape de calculer les valeurs privees Qi ou les parametres derives des 
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composantes privees Qy des valeurs privees Q* a partir des valeurs 
publiques Gj ainsi detenninees. 

De preference, selon rinvention, le precede est tel que le parametre 
d'ajustement a t est le meme pour tous les g t . 

De preference, selon rinvention, le precede est tel que le parametre 
d'ajustement a 5 est egal a une valeur entiere relative au nombre de base gj. 
La valeur Ci est la plus petite valeur entiere telle que le Ci - ieme carre de gi 
soit de rang impair par rapport a chaque facteur premier p u p 2? ... p f ,. La 
valeur entiere c { est nulle dans le cas ou le nombre de base g* est de rang 
impair par rapport a chaque facteur premier p l9 p 2? ... p f . 
De preference, selon rinvention, le precede est tel que le parametre 
d'ajustement a* est egal a une valeur entiere c. La valeur c est la plus petite 
valeur entiere c telle que le c - ieme carre de chaque soit de rang impair 
par rapport a chaque facteur premier p 1? p 2 , ... p fv La valeur entiere c est 
nulle dans le cas ou chaque nombre de base g* est de rang impair par rapport 
a chaque facteur premier p x? p 2 , ... p f . 

De preference, selon rinvention, le precede est plus particulierement con?u 
pour satisfaire a un critere d* equivalence. Le precede comprend les etapes 
suivantes : 

- l'etape d'associer directement ou indirectement a une combinaison 
multiplicative d'un ou plusieurs nombres de base g u g 2) ... g ra 
indicateur, 

- Petape de former une fonction de P indicateur, notamment les valeurs des 
carres successifs de Pindicateur dans Panneau des entiers modulo le module 
public ii ? permettant de selectionner une combinaison satisfaisant au critere 
d ? equivalence. 

On pent ainsi determiner un jeu de cles satisfaisant au critere d'equivalence 

(i) a partir des nombres de base de la combinaison ainsi selectionnee et/ou 

(ii) a partir d'unjeu de nombres de base comprend les nombres de bases de 
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la combinaison selectionnee. 

De preference, selon 1'invention, l'indicateur figurant parmi les 2 bl+ - + 
racines en x de l'equation x y ^ 1 mod n avec y - 2 max(bl a bf) ou les longueurs 
b to b 2 , ... b f sont determines a partir de l'ensemble des f facteurs premiers 
Pi, Pz, ... Pf de telle sorte que p, - 1 soit un multiple de 2 bj , mais pas un 
multiple de 2 bj+1 . 

De preference, selon l'invention, l'indicateur est determine a partir de 
composantes d'indicateur. Une composante d'indicateur est obtenue en 
elevant la combinaison multiplicative a la puissance (ft -l)/2 bJ dans le corps 
des entiers modulo ft. A chaque combinaison multiplicative on peut ainsi 
associer un indicateur. 

Selon une premiere variante preferee de 1'invention, le procede comprend 
l'etape de selectionner un ensemble de m nombres premiers parmi les 54 
premiers nombres premiers tel que l'ensemble satisfasse un critere 
d'equivalence. 

Selon une seconde variante preferee de 1'invention, le procede comprend 
l'etape de selectionner un ensemble compose des m premiers nombres 
premiers tel que l'ensemble satisfasse un critere d'equivalence. 
Selon une troisieme variante preferee de 1'invention, le procede comprend 
l'etape de selectionner un ensemble de m nombres premiers parmi les 54 
premiers nombres premiers. 

Systeme 

L'invention concerne egalement un systeme pour etablir un jeu de cles se 
presentant sous la forme de m couples de valeurs privees Q i5 Q 2 , ... Qm et 
publiques G l5 G 2 , ... Gm ou de parametre derives de composantes privees 
Qy des valeurs privees Q t . Le jeu de cles est etabli a partir : 

- de f grands facteurs premiers p x , p 2 , ... p f de plusieurs centaines de bits, f 
est superieur ou egal a 1 , et/ou 

- de m nombres de base entiers gi, g 2 , ••• gm- 
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Le jeu de cles est utilise dans un protocole destine a prouver a une entite 
contrSleur, 

- Pauthenticite d'une entite, et/ou 

- Pintegrite d'un message M associe a cette entite. 

Le protocole met en ceuvre un module public n constitue par le produit des f 
facteurs premiers pi, p 2 , ~* p f et/ou les f facteurs premiers. Le module n et 
les valeurs privees et publiques sont lies par des relations du type : 

Gj. Qi V he 1 mod nouG^ Q s v mod n 
v designant un exposant public de la forme : 

v = 2* 

ou k est un parametre de securite plus grand que 1 . Chaque valeur publique 
Gi s'exprime sous la forme du a r ieme carre du nombre de base gj , ou aj 
designe un parametre d'ajustement du nombre de base gi par rapport au 
module n respectant la condition selon laquelle au moins un des parametres 
d'ajustement ai est superieur al. 
Le systeme comprend : 

- des premiers moyens de traitement informatique, se presentant notamment 
sous la forme d'un equipement informatique tel qu'un calculateur 
numerique et/ou un microprocesseur situe dans une carte a puce, pour 
determiner le parametre d'ajustement aj de telle sorte que chaque valeur 
publique G f soit de rang impair par rapport a chaque facteur premier p 1? p 2 , 

- des seconds moyens de traitement informatique, notamment les premiers 
moyens de traitement informatique, pour calculer les valeurs privees Q s ou 
les parametres derives des composantes privees Qy des valeurs privees Q { a 
partir des valeurs publiques G| ainsi determinees. 

De preference, selon rinvention, le systeme est tel que le parametre 
d'ajustement a* est le meme pour tons les g f . 

De preference, selon Tinvention, le systeme est tel que le parametre 



ier oepui 



17 



d'ajustement a { est egal a une valeur entiere Ci relative au nombre de base gi . 
La valeur entiere Ci est nulle dans le cas ou le nombre de base gi est de rang 
impair par rapport a chaque facteur premier p„ p 2 , — Pf Le systeme 
comprend en outre : 

- des troisiemes moyens de traitement informatique, notamment les premiers 
moyens de traitement informatique pour determiner la plus petite valeur 
entiere Ci telle que le c s - ieme carre de gi soit de rang impair par rapport a 
chaque facteur premier p x , p 2 , Pf- 

De preference, selon rinvention, le systeme est tel que le parametre 
d'ajustement ^ est egal a une valeur entiere c. La valeur entiere c est nulle 
dans le cas ou chaque nombre de base gi est de rang impair par rapport a 
chaque facteur premier p ls p 2 , ... p f . Le systeme comprend en outre : 

- des troisiemes moyens de traitement informatique, notamment les premiers 
moyens de traitement informatique pour determiner la plus petite valeur 
entiere c telle que le c - ieme carre de chaque gi soit de rang impair par 
rapport a chaque facteur premier pi, p 2 , Pft- 

De preference, selon l'invention, le systeme est plus particulierement concu 
pour satisfaire a un critere d' equivalence. Le systeme comprend des 
quatriemes moyens de traitement informatique, notamment les premiers 
moyens de traitement informatique : 

- pour associer un indicateur, directement ou indirectement, a une 
combinaison multiplicative d'un ou plusieurs nombres de base gl , g 2 , ... gm, 
- pour former une fonction de l'indicateur, notamment les valeurs des 
carres successifs de l'indicateur dans l'anneau des entiers modulo le module 
public n, permettant de selectionner une combinaison satisfaisant au critere 
d' equivalence. 

On peut ainsi determiner un jeu de cles satisfaisant au critere d' equivalence 

(i) a partir des nombres de base de la combinaison ainsi selectionnee et/ou 

(ii) a partir d'un jeu de nombres de base comprend les nombres de bases de 



18 



la combinaison selectionnee. 

De preference, selon rinvention, Findicateur figurant parmi les 2 bl+ +bf 
racines en x de Tequation x y s 1 mod n avec y =* 2 max(bl a bf) ou les longueurs 
bi, b 2? ... b f sont determinees a partir de r ensemble des f facteurs premiers 
Pi? P2? • Pf de telle sorte que pj - 1 soit un multiple de 2 bj ? mais pas un 
multiple de 2 bj+ \ 

De preference, selon rinvention, les quatriemes moyens de traitement 
infonnatique permettant de determiner Pindicateur a partir de composantes 
d'indicateur obtenues en elevant la combinaison multiplicative a la 
puissance (pj ~-l)/2 bj dans le corps des entiers modulo p Jv Ainsi a chaque 
combinaison multiplicative on pent associer un indicateur. 
Selon une premiere variante preferee de Tinvention, le premier moyen de 
traitement informatique permettant de selectionner un ensemble de m 
nombres premiers parmi les 54 premiers nombres premiers. L ? ensemble 
satisfaisant un critere d 5 equivalence. 

Selon une seconde variante preferee de Tinvention, le premier moyen de 
traitement informatique permettant de selectionner un ensemble compose 
des m premiers nombres premiers. L'ensemble satisfaisant un critere 
d'6quivalence. 

Selon une troisieme variante preferee de 1'invention, le premier moyen de 
traitement informatique permettant de selectionner un ensemble de m 
nombres premiers parmi les 54 premiers nombres premiers. 

Description detaillee 
D'autres caracteristiques et avantages de Tinvention apparaitront a la lecture 
de la description de variantes de realisation de Tinvention, donnees a titre 
d'exemple indicatif et non limitatif, et des figures ci-jointes sur lesquelles: 

- la figure 1 ? deja decrite, represente des graphes orientes relatifs a 
la fonction "elever au carre" dans le corps des entiers modulo p ? 

- la figure 2 illustre des nombres g u Q et la valeur Q y definis selon 
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une realisation de l'invention, 

- la figure 3 illustre l'ensemble des positions possibles pour une 
composante privee Qy dans le graphe d'une fonction "elever au 
carre modulo pj", et 

- la figure 4 est une vue schematique d'un systeme selon 

l'invention. 
Parametre d'ajustement 

Rappelons que le module n est le produit de f grands facteurs premiers p, a 
p f dont au moins deux sont distincts. Des lors qu'au moins un grand facteur 
premier de Pl a p, est congru a 1 mod 4, la version classique de GQ2, c'est- 
a-dire, Q = gi 2 , n'assure plus systematiquement le critere de validite du 
nombre de base GQ2. Notre solution au probleme pose fait appel aux 
nombres suivants. 

Pour chaque grand facteur premier Pj , un nombre bj est defini de sorte que 
Pj -1 est divisible bj fois par 2, mais pas bj +1 Ms. En d'autres termes, le 
nombre bj est le nombre de bits a zero en poids faible de la representation 
binaire du nombre Pj -1 . 

Dans l'anneau des entiers mod n, a toute combinaison multiplicative de 

„ • , 0 bl+ +bf 

nombres de base, on associe un nombre z figurant parrm les l 
racines en x de l'equation x y ^ 1 mod n avec y = 2 max(bl a bf) ' Dans cbaque 
corps des entiers mod Pi , de Pl a Pf , ce nombre z se presente en une 
composante Zj obtenue en appliquant la fonction « elever a la puissance ( Pj 
-l)/2 bi mod pj » a la combinaison. 

Dans l'anneau des entiers mod n, la position du nombre de base & est un 
nombre c { qui prend une valeur de 0 a b = maxtfh a b f ). Cest le plus petit 
nombre tel que le c r ieme carre modulaire de gi est de rang impair par 
rapport a chaque facteur premier Pl a p f> c'est-a-dire, 0 si c'est g h I si c'est le 
carre de g,, 2 si c'est le deuxieme carre de g i5 et ainsi de suite, jusqu'a b si 
c'est le b-ieme carre de g f . En d'autres termes, la position Cs est le rang 
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^apparition de 1 dans la suite des carres modulaires du nombre z associe an 
nombre de base g h c'est-a-dire, 0 si z = 1, 1 si z 2 = 1, 2 si z 4 = 1, jusqu'a b 
si le b-ieme carre modulaire de z vaut 1 . 

Dans Tanneau des entiers mod n, la position d f ensemble des nombres de 
base gj a g m est la plus grande position de Cj a c m , denotee c. Le nombre c 
est inferieur ou egal a b = max(bj a b f ). 
c = max(c l9 c 2> ..- c m ) 

Pour satisfaire systematiquenient le critere de validite du nombre de base, 
pour chaque nombre de base g h nous introduisons un « parametre 
d'ajustement » denote aj. Le nombre public Gi est le a r ieme carre du 
nombre de base g i5 de sorte que chaque nombre public G h de Gi a G m , soit 
de rang impair par rapport a chaque facteur premier, de pi a p f . 

Voici deux solutions que nous allons analyser tres soigneusement. 
La premiere solution utilise un parametre d'ajustement par nombre de base. 
Pour le nombre de base g h la valeur minimum est la position specifique Ci. 
II n'y a pas d'interet a un parametre d'ajustement a,* superieur ou egal a cj. 
Le nombre public G'* est le nombre de base g f si c* est nul ou bien le c r ieme 
carre de gi si c { est positif. 

La premiere solution se distingue de la solution classique des lors qu f au 
moins un des nombres publics G\ n'est pas le carre du nombre de base g h 
c'est-a-dire, qu'au moins un des parametres d'ajustement est different de L 
La seconde solution utilise le meme parametre d'ajustement pour Tensemble 
des nombres de base. La valeur minimum est la position d'ensemble c = 
max(c 1? c 3? ... Cm). II n T y a pas d'inter€t a un parametre d'ajustement ni plus 
grand que c. Le nombre public G"i est le c-ieme carre du nombre de base 
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La seconde solution se distingue de la solution classique des lors que le 
nombre c est plus grand que 1, ce qui implique qu'au moins un des grands 
facteurs premiers pi a p f est congru a 1 mod 4. 

La figure 2 illustre les differents nombres g b G t et Q y dans un corps avec bj 

= 3, c'est-a-dire, pj = 9 mod 16, ainsi que c y = 2, eta s = 3. 

Le nombre (((k-3)-ieme carre de Q M ) / ou x gO est une racine carree de -1 . 

Le nombre (((k-2)-ieme carre de Q y ) / ou x g { 2 ) est egal a -1. 

Les nombres (((k-l)-ieme carre de Q y ) / ou x gj 4 ) et (Gj / ou x gi 8 ) sont 

tous les deux egaux a 1. 

Le parametre de security k fixe un exposant v = 2 k . Chaque facteur premier 
Pj determine un nombre Uj egal au plus petit nombre positif tel que (pj -1) / 
2 bi divise v x uj -1 ou v x uj +1 selon que l'equation GQ2 est directe ou 
inverse. Dans le corps des entiers modp j5 la fonction «elever a la 
puissance Uj » convertit chaque nombre public G-, (de rang impair) en sa 
racine v-ieme de rang impair. 

Q, j (de rang impair) =G"< mod p } 

Dans le graphe de la fonction « elever au carre mod pj », la figure 3 illustre 
l'ensemble des positions de la composante privee Qy, c'est-a-dire, 
l'ensemble des racines 2 k -iemes du nombre public G { (de rang impair), a 
savoir, d'abord, la valeur de rang impair, puis, son produit par -1, puis, son 
produit par les deux racines carrees de -1, puis, son produit par les quatre 
racines quatriemes de -1, et ainsi de suite. 

Toutefois, sans perte de generalite, on peut limiter la valeur de chaque 
composante privee, de Qi,i a Q m , f , a la valeur de rang impair dans le corps 
des entiers, de mod p! a mod p f . L'implementation la plus simple, c'est-a- 
dire, la meilleure, utilise seulement les valeurs de rang impair. 
Le nombre public G s , c'est-a-dire, le a r ieme carre du nombre de base g b et 
le nombre prive Q s , c'est-a-dire, le nombre obtenu par composition chinoise 
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des composantes privees Q i?i a Q ijf , formeht ensemble une paire de nombres, 
Chaque paire de nombres verifie une equation GQ2, directe ou inverse, 
regie par l'exposant v = 2 k et le module n. 

d s Qi V mod n ou G* x Qj v = 1 mod n 
Pour analyser Inequivalence du jeu de cles avec le probleme de la 
factorisation, nous introduisons un « indicateur » et une fonction de 
Tindicateur permettant d'etablir un critere pratique pour determiner si une 
combinaison satisfait ou non le « critere d'equivalence » avec le probleme 
de la factorisation du module. 

Le critere absolu pour assurer l'equivalence consiste a verifier que parmi 
toutes les combinaisons multiplicatives des nombres de base, de g x a g ra , il y 
a au moins une combinaison pour laquelle les carres modulaires successifs 
du nombre z passent a +1 sans passer par -L Alors, le predecesseur de +1 
est une racine carree non-triviale de 1'unite dans Tanneau, ce qui assure 
qu ! une decomposition non-triviale du module n se deduit des nombres 
prives Qj a Q m . Le nombre z fait alors figure « tindicateur » et la valeur 
du predecesseur de +1 est la « fonction de Tindicateur ». 
Le critere "simplified consiste a verifier que parmi les nombres de base g t a 
g m , il y a au moins un nombre de base g { pour lequel le (cr-l)-ieme carre de 
%i dans Tanneau ne vaut pas —1 . 

Pour un nombre de base gi et deux facteurs premiers pi et p 2 , le critere 
minimal est le suivant 

Si b x = b 2 , les symboles de Legendre sont differents, c'est-a-dire, (g 5 | pj)= 
- (gi I Pi). 

Si hi > b 2 , le symbole de Legendre par rapport a p x vaut -1, c'est-a-dire, (g ? 
I Pi>=~L 

Si b x < b 2 , le symbole de Legendre par rapport a p 2 vaut -1, c'est-a-dire, (g 8 
Le symbole de Legendre fait alors figure « d'indicateur » et les regies 
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precedentes font figure de « fonction de l'indicateur ». 
Pour deux grands facteurs premiers produits au hasard, chacun des premiers 
nombres premiers a au moins une chance sur deux de satisfaire le critere 
absolu, et exactement une chance sur deux de satisfaire le critere rninimal. 
II y a plusieurs strategies possibles pour choisir les nombres de base. Voici 
trois exemples. 

On peut examiner les 54 premiers nombres premiers sachant que le 54-ieme 
est 251 (il y a 54 nombres premiers s'ecrivant sur un octet) et en retenir m 
en minimisant la valeur maximum des positions de Cj a c m tout en assurant 
le critere d'equivalence 

On peut prendre systematiquement les m premiers nombres premiers 
comme nombres de base, c'est-a-dire, g t = 2, g 2 = 3, g 3 = 5, g4 = 7, g 5 = 1 1, 
et ainsi de suite. Si le critere d'equivalence n'est pas rempli, on retire un 
nouveau jeu de grands facteurs premiers. 

On peut prendre systematiquement les m premiers nombres premiers 
comme nombres de base, c'est-a-dire, gj = 2, g 2 = 3, gj = 5, g4 = 7, g 5 = 1 1, 
et ainsi de suite. Meme si certains jeux de cles GQ2 ne sont pas 
equivalents, le monde exterieur ne sait pas les distinguer. La proportion des 
jeux non-equivalents est alors bornee par l/2 m , par exemple, moins d'un sur 
65536 en prenant les seize premiers nombres premiers sachant que le 
seizieme est 53 (il y a seize nombres premiers s'ecrivant sur 6 bits ou 
moins). 

Protocole de la premiere solution 

Le defi comporte k' - c t bits pour le nombre de base gi. Pour que le 
protocole puisse utiliser chaque nombre de base g i5 le parametre de securite 
k' doit etre plus grand que le parametre d'ajustement c i3 ce qui implique que 
le parametre de securite k' doit etre plus grand que c, le plus grand nombre 
de cj a c,„. 

Au cceur du dispositif de calcul GQ2, un « temoin GQ2 » protege et utilise 
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une cle GQ2 privee. Selon cette premiere solution, une cle GQ2 privee 
comprend im parametre de securite k% des parametres d'ajustement c x a c m? 
des nombres prives Q t a Q ra , et un module n. Altemativement, en 
representation « cliinoise », outre un parametre de securite et des parametres 
d'ajustement, une cle GQ2 privee comprend des composantes privees Q i?1 a 
Q m ,6 des facteurs premiers p t a p f et des restes chinois Cr t a Cr w . 
« En mode prive », le temoin GQ2 produit des triplets GQ2 au hasard, 
c'est-a-dire ? a partir d'un alea r ou de composantes d'aleas de r! a r f? d'abord 
un engagement T (un nombre positif et inferieur a n) selon une formule 
d f engagement (4), puis, une reponse D (un nombre positif et inferieur a n) a 
n'importe quel defi d (tine chame demxk'-Ci ... - c m bits) selon une 
formule de reponse. Ou bien (4). 



T = r mod p 
T — r v mod p 

2 2 2 



z = Crx (T 1 -T 2 )modp l T = zxp 2 + T 2 



Ou bien (5) 



T = r mod n 

d 



D = r x I | Q * mod p 

1 i 4- -f i r i i 

D = r x j j Q i m od p 

2 2 -J-j*- i,z 2 

z^Crx (Dj - D 2 ) mod pi 
D = zxp 2 + D 2 



Ou bien 



D = r x || Q i mod n 

A entropie de defi constante, la formule d'engagement (4) implique c-1 
carres de plus que GQ2 classique. 

Un « controleur GQ2 » utilise une cle GQ2 publique. Selon cette premiere 
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solution, outre un module n, une cle GQ2 publique comprend uri parametre 
de securite k' et des nombres de base g t a g m , chacun associe a une position 
cj a c m . 

«En mode public », le controleur GQ2 produit des triplets GQ2, c'est-a- 
dire, transforme n'importe quelle reponse D (un nombre positif et inferieur a 
n) et n'importe quel defi d (une chaine de m x k» - c t ... - c m bits) en un 
engagement T' (un nombre positif et inferieur a n) selon une formule de 
contrdle (6). 



171 ^ 

T' = d v x TT G 1 mod n (6) 

■4-4* i 

La formule de controle (6) convertit la reponse D en un engagement retabli 
T f . Le controleur commence par alterner des carres avec des operations 
elementaires. La j-ieme operation elementaire suit le j-ieme carre; pour i 
allant de 1 a m, le bit d y indique si le resultat courant doit etre multiplie ou 
pas par g, mod n. A entropie de defi constant^ la premiere solution 
implique c-1 carres de plus que GQ2 classique. 
Protocole de la seconde solution 

Le defi comporte k" - c bits par nombre de base. Pour que le protocole 
fonctionne, le parametre de securite k" doit etre plus grand que le parametre 
d'ajustement c. 

Au coeur du dispositif de calcul GQ2, un « temoin GQ2 » protege et utilise 
une cle GQ2 privee. Selon cette seconde solution, une cle GQ2 privee 
comprend un parametre d'ajustement c, un parametre de securite k" plus 
grand que c, des nombres prives Qi a Q m et un module n. Alternativement, 
en representation «chinoise», outre le parametre d'ajustement et le 
parametre de securite, une cle GQ2 privee comprend des composantes 
privees Qi,i a Q m , f , des facteurs premiers pi a p f et des restes chinois Cr x a 
Cr f _ x . 



ler depot 



26 



« En mode prive », le temoin GQ2 produit des triplets GQ2 an hasard, 

c'est~a-dire, a partir d'un alea r ou de composantes d'aleas de r x a r f? d'abord 

un engagement T (tin nombre positif et inferieur a n) selon une formule 

d r engagement (7), puis, une reponse D (un nombre positif et inferieur a n) a 

n'importe quel defi d (une chaine de m x (k lf -c) bits) selon une formule de 

reponse (8). 
Ty = r" mod p 1 

T 2 = mod p 2 
puis, 

z-Cr x (Ti~T 2 ) modpi 
T = zxp 2 + T 2 (7) 
Ou bien 

T = r v mod n 

7=1 ' /=1 

z = Crx (Dj - D 2 ) mod p x 
D = zxp 2 + D 2 (8) 
Ou bien 

m 

D = rxYlQf } modn 

A entropie de defi constante, la formule ^engagement (8) implique c-1 
carres de plus que GQ2 classique. 

Un « controleur GQ2 » utilise une cle GQ2 publique. Selon cette seconde 
solution, outre un module n ? une cle GQ2 publique comprend un parametre 
d T ajustement c ? un parametre de securite k tr et un ou plusieurs nombres de 
base gt a g ra . 

« En mode public », ie controleur GQ2 produit des triplets GQ2, c'est-a- 
dire, transfonne n'importe quelle reponse D (un nombre positif et inferieur a 
n) et n T importe quel defi d (une chaine de m x (k"-c) bits) en un 
engagement T* (un nombre positif et inferieur a n) selon une formule de 
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controle (9). 

m 

La formule de controle (9) convertit la reponse D en un engagement retabli 
T f . Le controleur commence par alterner des carres avec des operations 
elementaires. La j-ieme operation elementaire suit le j-ieme carre; pour i 
allant delam, le bit dy indique si le resultat courant doit etre multiplie ou 
pas mod n par gi* A entropie de defi constante, la seconde solution 
implique c-1 carres de plus que GQ2 classique. 
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Revendications 

1. Procede pour etablir un jeu de cles (1) se presentant sous la forme de m 
couples de valeurs privees Qi> Q 2 , ... Q m etpubliques G ly G 2? ... G m ou de 
parametre derives de composantes privees Qy des valeurs privees (2) Qj ; 
ledit jeu de cles (1) etant etabli a partir : 

- de f grands facteurs premiers pi, p 2 , ... Pf de plusieurs centaines de bits, f 
etant superieur ou egal a 2 ? et/ou 

- de m nombres de base entiers g 2> > - . - gm I 

ledit jeu de cles (1) etant utilise dans un protocole destine a prouver a une 
entite contr61eur (7), 

- Fauthenticite d'une entite (8), et/ou 

- Fintegrite d'un message M associe a cette entite (8) ; 

ledit protocole (5) mettant en osuvre un module public n constitue par le 
produit desdits f facteurs premiers (3) p u p 2? ... Pf et/ou lesdits f facteurs 
premiers (3) ; 

ledit module n et lesdites valeurs privees (2) et publiques etant lies par des 
relations du type : 

Gj . Qi e 1 mod nouGi^ Q 3 v mod n 
v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

chaque valeur publique G { s'exprimant sous la forme du a r ieme carre du 
nombre de base > ou ^ designe un parametre d'ajustement du nombre de 
base gi par rapport au module n respectant la condition selon laquelle au 
moins un desdits parametres d'ajustement a* est superieur a 1 ; 
ledit procede comprenant les etapes suivantes : 

- Fetape de determiner ledit parametre d'ajustement a 5 de telle sorte 
que chaque valeur publique (10) Gj soit de rang impair par rapport a chaque 
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facteur premier pi, P2, Pf> 

- l'etape de calculer lesdites valeurs privees (2) Qiou lesdits 
parametres derives des composantes privees Qy des valeurs privees (2) Qi a 
partir des valeurs publiques G s ainsi determinees. 

2. Precede selon la revendication 1 ; ledit precede etant tel que ledit 
parametre d'ajustement aj est le meme pour tous les 

3. Prec6de selon la revendication 1 ; ledit precede etant tel que ledit 
parametre d'ajustement a t est egal a une valeur entiere Ci relative au nombre 
de base g { ; ladite valeur Ci etant la plus petite valeur entiere telle que le C; - 
ieme carre de gi soit de rang impair par rapport a chaque facteur premier p,, 

P2» Pf. 

4. Precede selon la revendication 1 ; ledit precede etant tel que ledit 
parametre d'ajustement aj est egal a une valeur entiere c ; ladite valeur c 
etant la plus petite valeur entiere c telle que le c - ieme carre de chaque g { 
soit de rang impair par rapport a chaque facteur premier pi, p 2 , ♦ • • Pf. 

5. Precede selon l'une quelconque des revendications 1 a 4 ; ledit precede 
etant plus particulierement concu pour satisfaire a un critere d'equivalence ; 
ledit precede comprenant les etapes suivantes : 

- l'etape d'associer directement ou indirectement a une combinaison 
multiplicative d'un ou plusieurs nombres de base (4) g v g 2j , ... gm un 
indicateur, 

- l'etape de former une fonction dudit indicateur (15), notamment les 
valeurs des carres successifs dudit indicateur (15) dans l'anneau des entiers 
modulo le module public n (9), permettant de selectionner une combinaison 
satisfaisant au critere d'equivalence ; 

de sorte que l'on peut determiner un jeu de cles (1) satisfaisant au critere 
d'equivalence (i) a partir des nombres de base (4) de la combinaison ainsi 
selectionnee et/ou (ii) a partir d'un jeu de nombres de base (4) comprenant 
les nombres de base (4) de la combinaison selectionnee 
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6. Procede selon la revendication 5 ; ledit indicateur (15) figurant parmi les 
2 dI+ - +¥ racines en x de l'equation x y s 1 mod n avec y = 2 max(M k bJ) ou les 
longueurs bi, b 2 , b f sont detenrrinees a partir de F ensemble des f 
facteurs premiers (3) pi, p 2? ... Pf de telle sorte que pj ~ 1 soit un multiple 
de 2 fcJ , mais pas un multiple de 2 bj+1 . 

7. Procede selon Tune quelconque des revendications 5 on 6; ledit 
indicateur (15) etant determine a partir de composantes d'indicateur (15) ; 
une composante d ? indicateur (15) etant obtenue en elevant ladite 
combinaison multiplicative (17) a la puissance (pj -l)/2 bJ dans le corps des 
entiers modulo p Jt ; 

de sorte qu'a chaque combinaison multiplicative (17) on peut associer un 
indicateur (15), 

8* Procede selon Tune quelconque des revendications 1 a 7 ; ledit procede 
comprenant Fetape de selectionner un ensemble de m nombres premiers 
parmi les 54 premiers nombres premiers ; ledit ensemble satisfaisant un 
critere d' equivalence. 

9. Procede selon Fune quelconque des revendications 1 a 7 ; 

ledit procede comprenant Fetape de selectionner un ensemble compose des 
m premiers nombres premiers ; ledit ensemble satisfaisant un critere 
d'equivalence. 

10. Procede selon Fune quelconque des revendications 1 a 7 ; 

ledit procede comprenant Fetape de selectionner un ensemble de m nombres 
premiers parmi les 54 premiers nombres premiers. 

Systeme 

11. Systeme pour etablir un jeu de cles (1) se presentant sous la forme de m 
couples de valeurs privees (2) Q 1? Q 2 , ... Q m et publiques G 1? G 2 , ... G m 
ou de parametre derives de composantes privees Qy des valeurs privees (2) 
Qi ; ledit jeu de cles (1) etant etabli a partir : 

- de f grands facteurs premiers (3) p t9 p 25 ... p f de plusieurs centaines de 
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bits, f etant superieur ou egal a 1 , et/ou 

- de m nombres de base (4) entiers gi,, g 2> , . . . g m ; 

ledit jeu de cles (1) etant utilise dans un protocole (5) destine a prouver a 
une entite controleur (7), 

- l'authenticite d'une entite (8), et/ou 

- l'integrite d'un message M associe a cette entite (8) ; 

ledit protocole (5) mettant en oeuvre un module public n (9) (9) constitue 
par le produit desdits f facteurs premiers (3) p l9 p 2 , ... Pf et/ou lesdits f 
facteurs premiers (3) ; 

ledit module n et lesdites valeurs privees (2) et publiques etant lies par des 
relations du type : 

Gi . Qi v s 1 mod n ou Q = Qi V mod n 

v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

chaque valeur publique (10) G s s'exprimant sous la forme du a r ieme carre 
du nombre de base g { , ou ai designe un parametre d'ajustement du nombre 
de base g t par rapport au module n respectant la condition selon laquelle au 
moins un desdits parametres d'ajustement a$ est superieur a 1 ; 
ledit systeme comprenant : 

- des premiers moyens de traitement informatique (11), se presentant 
notamment sous la forme d'un equipement informatique tel qu'un 
calculateur numerique et/ou un microprocesseur situe dans une carte a puce, 
pour determiner le parametre d'ajustement a; de telle sorte que chaque 
valeur publique (10) Gi soit de rang impair par rapport a chaque facteur 

premier pi, p 2 , ... Pf, 

- des seconds moyens de traitement informatique (12), notamment 
lesdits premiers moyens de traitement informatique, pour calculer lesdites 
valeurs privees (2) Q s ou lesdits parametres derives des composantes 
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privees Qy des valeurs privees (2) Qi a partir des valeurs publiques (10) Gj 
ainsi determinees, 

12. Systeme selon Tune des revendications 11 ou 12 ; ledit systeme etant tel 
que ledit parametre d'ajustement ai est le meme pour tous les g { . 

13. Systeme selon Pune des revendications 11 ou 12 ; ledit systeme etant tel 
que ledit parametre d'ajustement a* est egal a une valeur entiere cj relative 
au nombre de base g* ; 

ledit systeme comprenant en outre : 

- des troisiemes moyens de traitement informatique (13), notamment lesdits 
premiers moyens de traitement informatique (11) pour determiner la plus 
petite valeur entiere Ci telle que le c s - ieme carre de g* soit de rang impair 
par rapport a chaque facteur premier p l9 p 2 , ... Pf. 

14. Systeme selon Tune des revendications 1 1 ou 12 ; ledit systeme etant tel 
que ledit parametre d'ajustement a s est egal a une valeur entiere c ; 

ledit systeme comprenant en outre : 

- des troisiemes moyens de traitement informatique (13), notamment lesdits 
premiers moyens de traitement informatique (11) pour determiner la plus 
petite valeur entiere c telle que le c - ieme carre de chaque gj soit de rang 
impair par rapport a chaque facteur premier p l5 p 2 > ... Pf, . 

15. Systeme selon Tune quelconque des revendications 11 a 14; ledit 
systeme etant plus particulierement con?u pour satisfaire a un critere 
d' equivalence ; 

ledit systeme comprenant des quatriemes moyens de traitement 
informatique (14), notamment lesdits premiers moyens de traitement 
informatique (11) : 

- pour associer un indicateur (15), directement ou indirectement, a une 
combinaison multiplicative (17) d'un ou plusieurs nombres de base (4) g 1?3 

§2p • • - gin 3 

- pour former une fonction dudit indicateur (1 5), notamment les valeurs des 
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carres successifs dudit indicateur (15) dans l'anneau des entiers modulo le 
module public n (9), permettant de selectionner une combinaison 
satisfaisant au critere d' equivalence ; 

de sorte que l'on peut ainsi determiner un jeu de cles (1) satisfaisant au 
critere d'equivalence (i) a partir des nombres de base (4) de la combinaison 
ainsi selectionnee et/ou (ii) a partir d'un jeu de nombres de base (4) 
comprenant les nombres de base (4) de la combinaison selectionnee. 

16. Systeme selon la revendication 15 ; ledit indicateur (15) figurant parmi 
les 2 bl+ - +z,/ racines en jc de Tequation x y = 1 mod n avec y = 2 max(fel k bf) ou 
les longueurs b ls b 2 , ... b f sont determinees a partir de 1' ensemble des f 
facteurs premiers (3) pi, p 2 , — Pf de telle sorte que pj - 1 soit un multiple 
de 2 bj , mais pas un multiple de 2 bi+1 . 

17. Systeme selon l'une quelconque des revendications 15 ou 16 ; lesdits 
quatriemes moyens de traitement informatique (14) permettant de 
determiner ledit indicateur (15) a partir de composantes d'indicateur (16) 
obtenues en elevant ladite combinaison multiplicative (17) a la puissance (pj 
-l)/2 bJ dans le corps des entiers modulo p Jt ; 

de sorte qu'a chaque combinaison multiplicative (17) on peut associer un 
indicateur (15). 

18. Systeme selon l'une quelconque des revendications 11 a 17; ledit 
premier moyen de traitement informatique (11) permettant de selectionner 
un ensemble de m nombres premiers parmi les 54 premiers nombres 
premiers ; ledit ensemble satisfaisant un critere d'equivalence. 

19. Systeme selon l'une quelconque des revendications 11 a 17 ; ledit 
premier moyen de traitement informatique (1 1) permettant de selectionner 
un ensemble compose des m premiers nombres premiers ; ledit ensemble 
satisfaisant un critere d'equivalence. 

20. Systeme selon l'une quelconque des revendications 11 a 17 ; ledit 
premier moyen de traitement informatique (11) permettant de selectionner 
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